我想測試我的 Android 手機的安全性,所以我讓它在後台運行 tcpdump 一天。
然後我將生成的 pcap 發送到virustotal.com。他們正在使用 snort 和 suricata 掃描 pcap 檔案。
在報告中我有警報ET MOBILE MALWARE Google Android Device HTTP Request
如何取得有關觸發警報的資料包的更多資訊?我主要對遠端 ip 感興趣,但內容也會有所幫助 - 我試圖確定哪個應用程式觸發了警報等。
我有一台 Linux 機器來進一步分析該文件,但不知道從哪裡開始。我假設如果我只是運行suricata -r my.pcap.它會給我相同的輸出,僅此而已。如何獲得更多詳細資訊?
答案1
首先,如果您確實擔心安全性,則不應將手機資料的 PCAP 發送給第三方。有很多工具可以讓您自己進行此類分析。
接下來,這應該很容易分析。
在 NetMon、Wireshark 以及您需要的任何工具中設定過濾器,並根據 HTTP 協定進行過濾。查看來源 IP 和目標 IP,您應該很快就能找到它。
另一個值得嘗試的好工具是http://www.cs.bham.ac.uk/~tpc/PCAP/
該工具的開發人員在他的領域中受到極高的評價(我知道!),並且我自己在分析來自我的機器的數據流時使用了該工具,我知道它根本不會將您的數據複製給他。